Фальшивые обновления Chrome распространяют вредоносное ПОФальшивые обновления браузеров активно используются для распространения троянов удалённого доступа (RAT) и прочего вредоносного ПО, такого как BitRAT и Lumma Stealer (известный также как LummaC2).
Согласно недавнему отчёту компании по кибербезопасности eSentire, фальшивые обновления браузеров приводят ко множеству заражений вредоносным ПО, включая широко известное SocGholish. В апреле 2024 года было замечено распространение вредоносного ПО FakeBat через аналогичные механизмы фальшивых обновлений.
Атака начинается, когда потенциальная жертва посещает заражённый веб-сайт, содержащий JavaScript-код, который перенаправляет пользователей на поддельную страницу обновления браузера («chatgpt-app[.]cloud»). На этой странице находится ссылка на скачивание архива ZIP, размещённого на платформе Discord, который автоматически загружается на устройство жертвы.
В ZIP-архиве содержится JavaScript-файл («Update.js»), который запускает выполнение PowerShell-скриптов. Эти скрипты загружают дополнительные полезные нагрузки, включая BitRAT и Lumma Stealer, с удалённого сервера в виде PNG-файлов.
Злоумышленники используют поддельные веб-страницы, утверждающие, что «возникла ошибка при отображении этой веб-страницы», и предлагают установить корневой сертификат, следуя ряду шагов, включая копирование и выполнение скрытого кода PowerShell.
Lumma Stealer стал одним из самых распространённых похитителей информации в 2023 году, наряду с RedLine и Raccoon. Количество журналов, полученных с помощью LummaC2, выставленных на продажу, увеличилось на 110% с третьего по четвёртый квартал 2023 года. Высокая успешность LummaC2 объясняется его эффективностью в инфильтрации систем и извлечении конфиденциальных данных без обнаружения.
Этот инцидент подчёркивает важность повышения осведомлённости пользователей о подлинности уведомлений об обновлениях и скачивания обновлений только из доверенных источников.
Источник: www.securitylab.ru
#Новости|#Безопасность
